漏洞标题
N/A
漏洞描述信息
DotCMS在5.2.4之前版本容易受到目录遍历攻击,导致不正确的访问控制。它允许攻击者访问$TOMCAT_HOME/webapps/ROOT/assets(这是一个受保护的目录)下的文件,或者执行(在运行DotCMS应用程序的用户权限下)远程命令。此外,攻击者可以将临时文件(如.jsp文件)上传到/webapps/ROOT/assets/tmp_upload,这可能导致远程命令执行(在运行DotCMS应用程序的用户权限下)。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
dotCMS before 5.2.4 is vulnerable to directory traversal, leading to incorrect access control. It allows an attacker to read or execute files under $TOMCAT_HOME/webapps/ROOT/assets (which should be a protected directory). Additionally, attackers can upload temporary files (e.g., .jsp files) into /webapps/ROOT/assets/tmp_upload, which can lead to remote command execution (with the permissions of the user running the dotCMS application).
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
dotCMS 代码问题漏洞
漏洞描述信息
dotCMS是美国dotCMS公司的一套内容管理系统(CMS)。该系统支持RSS订阅、博客、论坛等模块,并具有易于扩展和构建的特点。 dotCMS 5.2.4之前版本中存在代码问题漏洞,该漏洞源于不正确的访问控制。攻击者可利用该漏洞读取或执行文件,或执行命令。
CVSS信息
N/A
漏洞类别
代码问题